GDPR

Con el objetivo de salvaguardar la información personal y cumplir con las obligaciones legales vigentes, el tratamiento de datos se rige por el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de España. A continuación se detallan las condiciones aplicables a la recopilación, uso y protección de datos durante la utilización de los servicios.

Alcance de aplicación

Esta política se aplica al tratamiento de datos personales vinculados a España, incluyendo:

Prestación de productos o servicios dentro del territorio español o seguimiento del comportamiento en línea de residentes en España.
Gestión de pedidos, registros, suscripciones y otras interacciones relacionadas con usuarios en España.
Sistemas estructurados de información como CRM, boletines informativos y registros de pedidos.

Quedan excluidos los tratamientos realizados en el ámbito estrictamente personal o doméstico.

Categorías de datos tratados

Entre los datos que pueden ser objeto de tratamiento se incluyen, entre otros:

Datos identificativos: nombre, dirección, documento de identidad o pasaporte.
Datos de contacto: correo electrónico, número telefónico, dirección postal.
Información transaccional: detalles de pedidos, pagos y facturación.
Datos de uso digital: dirección IP, cookies y recorridos de navegación.
Historial de atención al cliente: consultas, solicitudes posteriores a la compra y reclamaciones.
Información procedente de terceros autorizados: accesos mediante cuentas de Google, Apple u otros proveedores.

Bases jurídicas del tratamiento

El tratamiento de datos se fundamenta en una o varias de las siguientes bases legales:

Consentimiento expreso, por ejemplo en el envío de comunicaciones comerciales.
Ejecución de un contrato, como la gestión de pedidos o facturación.
Cumplimiento de obligaciones legales, incluidas las fiscales, contables o de prevención del fraude.
Interés legítimo, relacionado con la seguridad y mejora de los servicios.
Protección de intereses vitales en situaciones urgentes.

Finalidad del uso de los datos

La información personal puede utilizarse para:

Tramitación de pedidos, envíos y cobros.
Gestión de atención al cliente y soporte posterior a la venta.
Mejora de la experiencia de navegación y personalización de contenidos.
Realización de acciones de marketing, siempre previa autorización del usuario.
Cumplimiento de obligaciones legales y fiscales.
Análisis de tendencias y optimización de los servicios ofrecidos.

Periodo de conservación

Datos contables y fiscales: conservación mínima de 5 años.
Datos utilizados con fines comerciales: eliminación tras la retirada del consentimiento.
Cuentas inactivas: supresión o anonimización después de 24 meses.

Antes de la eliminación definitiva, existe la posibilidad de exportar la información personal.

Derechos del usuario (artículos 15 a 22 del GDPR)

En cualquier momento se pueden ejercer los siguientes derechos:

Acceso a los datos personales.
Rectificación de información inexacta o desactualizada.
Supresión de datos conforme al derecho al olvido.
Limitación del tratamiento en determinadas circunstancias.
Portabilidad de los datos hacia otro proveedor.
Oposición al tratamiento por motivos personales.
No ser objeto de decisiones automatizadas sin intervención humana.

Las solicitudes pueden enviarse a través de los canales de contacto disponibles y se gestionan en un plazo máximo de 24 horas laborables.

Protección de menores

En España, los menores de 14 años requieren autorización de sus padres o tutores para utilizar el servicio. La información dirigida a menores se presenta de forma clara y comprensible, y se aplican controles adicionales para verificar la existencia del consentimiento correspondiente.

Medidas de seguridad

Se aplican medidas técnicas y organizativas destinadas a proteger los datos, tales como:

Cifrado de la información durante la transmisión mediante protocolo TLS.
Control de accesos con niveles de autorización definidos.
Sistemas de copia de seguridad y protección mediante cortafuegos.
Auditorías externas periódicas y análisis de vulnerabilidades.
Colaboración con proveedores certificados conforme a estándares como PCI-DSS e ISO 27001.
Registros de actividad para supervisión y control.

Transferencias internacionales

La transferencia de datos fuera del Espacio Económico Europeo solo se realiza cuando se cumplen las siguientes condiciones:

El país de destino dispone de un nivel de protección adecuado reconocido por la Unión Europea.
Se aplican cláusulas contractuales tipo aprobadas por la Comisión Europea.
Se implementan medidas adicionales como cifrado, anonimización y control de acceso.

Gestión de incidentes de seguridad

En caso de producirse un incidente que implique riesgos para los usuarios:

Se notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
Se informará a los usuarios afectados.
Se adoptarán medidas inmediatas para contener y resolver la situación.
Un equipo especializado coordinará las acciones correspondientes.

Supervisión y cumplimiento

Existe una función interna encargada de verificar la aplicación de esta política.
En tratamientos de alto riesgo, se designará un Delegado de Protección de Datos (DPO).
Los proveedores externos suscriben acuerdos de tratamiento de datos (DPA).
Se mantienen registros disponibles para las autoridades competentes.

Reclamaciones

Las reclamaciones pueden presentarse a través de los canales de contacto habilitados.
En caso de disconformidad con la respuesta recibida, es posible acudir a la Agencia Española de Protección de Datos (AEPD).

Disposiciones finales

El tratamiento de datos se realiza conforme a criterios de legalidad, transparencia y seguridad, respetando los derechos de los usuarios y aplicando mejoras continuas en materia de protección y cumplimiento normativo.